V (Dharma) Ransomware po cichu wyrządza wiele szkód
Table of Contents
Zrozumienie V (Dharma) Ransomware
V (Dharma) Ransomware to program blokujący pliki należący do rodziny Dharma , znanej grupy zagrożeń, które od lat szyfrują dane. Po infiltracji systemu modyfikuje pliki, dodając unikalny identyfikator ofiary, adres e-mail i rozszerzenie „.V”. Ransomware pozostawia również notatkę o okupie w formie wyskakującego komunikatu i pliku tekstowego o nazwie „info.txt”.
Ofiary są informowane, że ich pliki są niedostępne i poinstruowane, aby wysłać e-mail do atakujących w celu negocjacji procesu odszyfrowania. Notatka o okupie ostrzega przed zmianą nazw plików lub próbą użycia narzędzi do odszyfrowywania stron trzecich, twierdząc, że takie działania mogą spowodować trwałą utratę danych. Atakujący oferują nawet odszyfrowanie do trzech małych plików za darmo jako dowód swojej zdolności do przywracania danych.
Cel szyfrowania
Podobnie jak inne ransomware, V (Dharma) ma na celu wyłudzanie pieniędzy od swoich ofiar. Atakujący żądają zapłaty, zwykle w Bitcoinach, w zamian za narzędzie do odszyfrowywania. Jeśli w ciągu 12 godzin nie otrzymają odpowiedzi, notatka o okupie kieruje ofiary na dodatkowy adres e-mail w celu dalszego kontaktu. Uwzględnienie wielu metod kontaktu sugeruje, że atakujący chcą zapewnić, że komunikacja pozostanie otwarta, zwiększając prawdopodobieństwo zapłaty.
Pomimo tych obietnic, zapłacenie okupu nigdy nie jest gwarantowanym rozwiązaniem. W wielu przypadkach ofiary, które spełniają żądania, nigdy nie otrzymują kluczy deszyfrujących, co pozostawia je bez danych i pieniędzy.
Oto treść listu z żądaniem okupu:
All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: vijurytos@tuta.io YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:vijurytos@cyberfear.com
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain BitcoinsAlso you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam
Jak działa V (Dharma) Ransomware
Po wejściu do systemu V (Dharma) wyszukuje i szyfruje pliki przechowywane na dyskach lokalnych i sieciowych. Podejmuje również kroki, aby zapobiec łatwemu odzyskiwaniu, takie jak wyłączanie zapór sieciowych i usuwanie kopii plików w tle, które są często używane do przywracania. Ransomware osadza się w systemie, kopiując swój kod do folderu „%LOCALAPPDATA%” i modyfikując klucze rejestru Run, zapewniając, że pozostanie aktywny nawet po ponownym uruchomieniu.
Co ciekawe, niektóre odmiany ransomware unikają szyfrowania danych w określonych lokalizacjach. To zachowanie sugeruje, że atakujący mogą atakować określone regiony lub organizacje, jednocześnie unikając innych.
Ransomware i jego szersze konsekwencje
Programy ransomware, w tym V (Dharma), należą do najbardziej destrukcyjnych zagrożeń cyfrowych. Blokując krytyczne dane, mogą sparaliżować firmy, organizacje i indywidualnych użytkowników. Ponieważ atakujący żądają kryptowaluty jako płatności, śledzenie i odzyskiwanie środków jest niezwykle trudne.
Podczas gdy płacenie za odzyskanie zaszyfrowanych plików może wydawać się jedyną opcją, robienie tego napędza gospodarkę ransomware, zachęcając cyberprzestępców do kontynuowania ataków. Organy ścigania i specjaliści ds. cyberbezpieczeństwa odradzają dokonywanie płatności, ponieważ nie ma gwarancji, że atakujący dotrzymają obietnic.
Jak rozprzestrzenia się ransomware V (Dharma)
Dharma ransomware jest często dystrybuowany przez słabe połączenia Remote Desktop Protocol (RDP). Atakujący używają ataków siłowych lub słownikowych, aby odgadnąć dane logowania, uzyskując dostęp do systemów ze słabymi środkami bezpieczeństwa. Po wejściu do środka ręcznie uruchamiają ransomware, blokując pliki w ciągu kilku minut.
Aktorzy zagrożeń rozprzestrzeniają również ransomware za pośrednictwem wiadomości phishingowych, złośliwych załączników i zainfekowanych witryn internetowych. Oszukańcze reklamy, pirackie oprogramowanie i luki w zabezpieczeniach oprogramowania zapewniają atakującym dodatkowe możliwości infiltracji systemów. Nawet pozornie legalne witryny pobierania mogą nieświadomie hostować pliki obciążone ransomware, co sprawia, że użytkownicy muszą koniecznie zweryfikować autentyczność każdego pobrania.
Zapobieganie infekcjom ransomware
Biorąc pod uwagę destrukcyjną naturę ransomware, najlepszą strategią jest zapobieganie. Użytkownicy powinni zachować ostrożność podczas obsługi wiadomości e-mail, zwłaszcza tych od nieznanych nadawców. Należy unikać podejrzanych załączników i linków, ponieważ mogą one wywołać infekcję po otwarciu.
Oprogramowanie należy zawsze pobierać z renomowanych źródeł, takich jak oficjalne strony internetowe dostawców i zaufane sklepy z aplikacjami. Unikanie pirackich programów i instalatorów stron trzecich minimalizuje ryzyko nieumyślnego pobrania szkodliwych plików. Ponadto firmy powinny zabezpieczyć dostęp RDP, używając silnych haseł i wdrażając uwierzytelnianie wieloskładnikowe w celu ograniczenia nieautoryzowanego dostępu.
Znaczenie kopii zapasowych
Tworzenie kopii zapasowych ważnych danych jest jedną z najskuteczniejszych metod obrony przed ransomware. Regularne kopie zapasowe przechowywane w systemach zewnętrznych lub w chmurze zapewniają możliwość przywrócenia plików bez konieczności spełniania żądań okupu. Ważne jest, aby odłączyć kopie zapasowe od urządzeń głównych, aby zapobiec ich szyfrowaniu przez ransomware.
Ostatnie przemyślenia
V (Dharma) Ransomware pokazuje, jak zagrożenia szyfrujące pliki wciąż ewoluują, sprawiając, że ochrona danych jest ważniejsza niż kiedykolwiek. Ponieważ atakujący używają różnych metod dystrybucji ransomware, świadomość i proaktywne środki bezpieczeństwa odgrywają kluczową rolę w zapobieganiu infekcjom. Pozostając czujnym, unikając podejrzanych pobrań i przechowując bezpieczne kopie zapasowe, użytkownicy i organizacje mogą znacznie zmniejszyć wpływ ataków ransomware.
